Lazarus Group explota la vulnerabilidad de AppLocker, causando estragos sin ser detectados

Microsoft y sus servicios están constantemente bajo ataques de seguridad y la empresa está colaborando con agencias gubernamentales para mejorar su seguridad.

Desafortunadamente para Microsoft, los piratas informáticos han encontrado y explotado otra vulnerabilidad de día cero.

Los piratas informáticos norcoreanos han encontrado otro exploit que puede desactivar funciones de seguridad

Según informa GovInfoSecurity , el grupo de hackers Lazarus de Corea del Norte ha logrado encontrar y utilizar una vulnerabilidad en el controlador AppLocker de Windows.

Al utilizar este exploit, pudieron obtener acceso a nivel de kernel y desactivar las funciones de seguridad de una PC para ocultar su presencia.

Los piratas informáticos han utilizado una vulnerabilidad desconocida en appid.sys, y este controlador se encarga de hacer cumplir las reglas sobre qué aplicaciones pueden ejecutarse en la PC.

Esta es una vulnerabilidad peligrosa e incluso Microsoft afirmó que explotar esta vulnerabilidad podría permitir a un pirata informático obtener privilegios del sistema. Después de obtener acceso, los piratas informáticos implementarían su rootkit FudModule.

Al utilizar este rootkit, alterarían varios mecanismos de seguridad del kernel, permitiéndose así operar sin ser detectados.

Afortunadamente, Microsoft solucionó este problema rápidamente e identificó este exploit como CVE-2024-21338 , por lo que siempre que tenga instaladas las últimas actualizaciones de seguridad, debería estar a salvo.